Информация по безопасности / 2015 / Информация о безопасности -- DSA-3397-1 wpa

Рекомендация Debian по безопасности

DSA-3397-1 wpa -- обновление безопасности

Дата сообщения:

10.11.2015

Затронутые пакеты:

wpa

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 787371, Ошибка 787372, Ошибка 787373, Ошибка 795740, Ошибка 804707, Ошибка 804708, Ошибка 804710.
В каталоге Mitre CVE: CVE-2015-4141, CVE-2015-4142, CVE-2015-4143, CVE-2015-4144, CVE-2015-4145, CVE-2015-4146, CVE-2015-5310, CVE-2015-5314, CVE-2015-5315, CVE-2015-5316, CVE-2015-8041.

Более подробная информация:

В wpa_supplicant и hostapd было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-4141

  Костя Корчинский из Google Security Team обнаружил уязвимость в функции WPS UPnP с кодированием передаваемых фрагментов HTTP, которая может приводить к отказу в обслуживании.

• CVE-2015-4142

  Костя Корчинский из Google Security Team обнаружил уязвимость в коде обработки фрейма WMM Action, которая приводить к отказу в обслуживании.

• CVE-2015-4143 CVE-2015-4144 CVE-2015-4145 CVE-2015-4146

  Костя Корчинский из Google Security Team обнаружил, что данные EAP-pwd проверяются неправильно, что может приводить к отказу в обслуживании.

• CVE-2015-5310

  Йоуни Малинен обнаружил уязвимость в коде обработки фрейма WMM Sleep Mode Response. Удалённый злоумышленник может использовать её для вызова отказа в обслуживании.

• CVE-2015-5314 CVE-2015-5315

  Йоуни Малинен обнаружил уязвимость в коде обработки сообщений EAP-pwd, которая может приводить к отказу в обслуживании.

• CVE-2015-5316

  Йоуни Малинен обнаружил уязвимость в коде обработки сообщений EAP-pwd Confirm, которая может приводить к отказу в обслуживании.

• CVE-2015-8041

  Неполная проверка длины записей WPS и P2P NFC NDEF в данных может приводить к отказу в обслуживании.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 1.0-3+deb7u3. Предыдущий стабильный выпуск (wheezy) подвержен только следующим уязвимостям: CVE-2015-4141, CVE-2015-4142, CVE-2015-4143 и CVE-2015-8041.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 2.3-1+deb8u3.

Рекомендуется обновить пакеты wpa.